(1)對組織內(nèi)信息安全管理能夠?qū)崿F(xiàn)：

◇能夠保護關(guān)鍵信息資產(chǎn)和知識產(chǎn)權(quán)，維持競爭優(yōu)勢

◇在系統(tǒng)受侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度

◇建立起信息安全審計框架，實施監(jiān)督檢查

◇建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查

◇強化員工的信息安全意識，建立良好的安全作業(yè)習慣，培育組織的信息安全企業(yè)文化

◇按照風險管理的思想建立起自我持續(xù)改進和發(fā)展的信息安全管理機制，用最低的成本，達到可接受的信息安全水平，從根本上保證業(yè)務的持續(xù)性

(2)對組織外信息安全管理能夠?qū)崿F(xiàn)：

◇能夠使各利益相關(guān)方對組織充滿信心

◇能夠幫助界定外包時雙方的信息安全責任

◇可以使組織更好地滿足客戶或其他組織的審計要求◇可以使組織更好地符合法律法規(guī)的要求

◇若通過了IS027001認證，能夠提高組織的公信度

◇可以明確要求供應商提高信息安全水平，保證數(shù)據(jù)交換中的信息安全

(3)需要清楚的認識到實施信息安全管理的關(guān)鍵成功因素包括：

◇組織的信息安全方針和活動能夠反映組織的業(yè)務目標

◇組織實施信息安全的方法和框架與組織的文化相一致

◇管理者能夠給予信息安全實質(zhì)性的、可見的支持和承諾

◇管理者對信息安全需求、信息安全風險、風險評估及風險管理有深入理解

◇向全員和其他相關(guān)方提供有效的信息安全宣傳以提升信息安全意識

◇向全員和其他相關(guān)方分發(fā)并宣貫信息安全方針、策略和標準

◇管理者為信息安全建設提供足夠的資金

◇向全員提供適當?shù)男畔踩嘤柡徒逃?/p>

◇建立有效的信息安全事件管理過程

◇建立有效的信息安全測量體系